Pixnapping Android Flaw
Natukoy ng mga mananaliksik sa cybersecurity ang isang kritikal na kahinaan na nakakaapekto sa mga Android device mula sa Google at Samsung, na tinatawag na Pixnapping. Ang pag-atake sa side-channel na ito ay nagbibigay-daan sa isang nakakahamak na app na palihim na magnakaw ng sensitibong data, kabilang ang mga two-factor authentication (2FA) code at mga timeline ng Google Maps, sa pamamagitan ng pagkuha ng mga pixel ng screen nang hindi nalalaman ng user. Ang pag-atake ay gumagana sa isang pixel-by-pixel na batayan, ginagawa itong lubos na tumpak at palihim.
Talaan ng mga Nilalaman
Paano Gumagana ang Pixnapping: Pixel-Stealing at Its Core
Sa kaibuturan nito, ang Pixnapping ay isang framework sa pagnanakaw ng pixel na idinisenyo upang i-bypass ang mga karaniwang pagpapagaan ng browser at i-target ang mga hindi browser na app gaya ng Google Authenticator. Ginagamit nito ang mga Android API at isang hardware side-channel upang mabilis na makuha ang sensitibong impormasyon, ang 2FA code ay maaaring makuha sa loob ng wala pang 30 segundo.
Sinasamantala ng pag-atake ang pipeline ng pag-render ng Android sa isang natatanging paraan:
- Pinipilit ng isang nakakahamak na app ang mga pixel ng biktima sa pag-render ng pipeline gamit ang mga layunin ng Android.
- Pagkatapos ay inilalapat nito ang isang stack ng mga semi-transparent na aktibidad ng Android upang kalkulahin ang mga pixel na iyon.
Sinasalamin ng pamamaraang ito ang mga pag-atake na 'Stone-style' na dati ay limitado sa mga browser, na inangkop na ngayon para sa mga native na app.
Mga Device sa Panganib at Saklaw ng Kahinaan
Partikular na sinuri ng pananaliksik ang limang Google at Samsung device na nagpapatakbo ng mga bersyon ng Android 13 hanggang 16. Bagama't hindi pa nasusuri ang iba pang mga manufacturer, umiiral ang mga pinagbabatayan na prinsipyo ng pag-atake sa lahat ng Android device, na ginagawang mas madaling kapitan ang platform.
Kapansin-pansin, ang anumang Android app ay maaaring magsagawa ng Pixnapping nang walang mga espesyal na pahintulot sa manifest nito. Gayunpaman, kinakailangan ng pag-atake na i-install at ilunsad ng biktima ang nakakahamak na app, kadalasan sa pamamagitan ng social engineering o panlilinlang.
Teknikal na Mechanics: GPU Side-Channel at Window Blur Exploits
Bumubuo ang Pixnapping sa naunang ibinunyag na GPU.zip side-channel (Setyembre 2023), na gumamit ng mga feature ng compression sa mga pinagsama-samang GPU para magnakaw ng mga cross-origin na pixel sa mga browser. Pinalalawak ng bagong pag-atake ang konseptong ito sa pamamagitan ng pagsasama nito sa window blur API ng Android, na nagbibigay-daan sa pagnanakaw ng mga pixel mula sa mga app ng biktima.
Ang proseso ay gumagana tulad ng sumusunod:
- Ang isang nakakahamak na app ay nagpapadala ng mga pixel ng app ng biktima sa pipeline ng pag-render.
- Ang mga semi-transparent na aktibidad ay naka-overlay gamit ang mga layunin ng Android upang i-mask, palakihin, at ipadala ang mga naka-target na pixel.
Bakit Vulnerable ang Android: Tatlong Salik sa Pagpapagana
Tinukoy ng mga mananaliksik ang tatlong kundisyon na ginagawang posible ang Pixnapping:
- Pag-inject ng mga aktibidad mula sa iba pang app sa pipeline ng pag-render ng Android.
- Inducing graphical operations (tulad ng blur) sa mga pixel na ito.
- Pagsukat ng mga side effect na nakadepende sa kulay ng pixel upang magpahiwatig ng sensitibong impormasyon.
Mga Update sa Tugon at Seguridad ng Google
Sinusubaybayan ng Google ang Pixnapping sa ilalim ng CVE-2025-48561 (CVSS 5.5). Isang patch ang inilabas noong Setyembre 2025 na Android Security Bulletin, na bahagyang nagpapagaan sa pag-atake. Tinutugunan ng patch ang mga sitwasyon kung saan maaaring gamitin ang labis na pag-blur para magnakaw ng mga pixel.
Ang pangalawang patch ay naka-iskedyul para sa Disyembre 2025 upang isara ang isang bagong vector ng pag-atake na muling pinapagana ang Pixnapping sa pamamagitan ng mga pagsasaayos ng timing. Napansin ng Google na ang pagsasamantala ay nangangailangan ng data na tukoy sa device at nakumpirma na walang aktibong malware na nagsasamantala sa kapintasang ito sa Google Play.
Mga Karagdagang Panganib: Pag-detect ng App at Mga Implikasyon sa Privacy
Nagbibigay-daan din ang Pixnapping sa isang attacker na maka-detect ng mga naka-install na app sa isang device, na lumalampas sa mga paghihigpit na ipinatupad mula noong Android 11 na idinisenyo upang itago ang mga listahan ng app.
Itinatampok ng pag-atake ang mga panganib na likas sa layering ng mobile app, isang sistema kung saan malawakang nakikipag-ugnayan ang mga app sa buong OS. Ang ganap na paghihigpit sa functionality ng layered na app ay hindi praktikal; sa halip, maaaring tumuon ang mga depensa sa pagpayag sa mga sensitibong app na mag-opt out at paglilimita sa kakayahan ng mga umaatake na magsagawa ng mga sukat.
Mga Pangunahing Takeaway para sa Mga User
Ang Pixnapping ay isang napakalihim na pag-atake na tumatakbo nang hindi nangangailangan ng mataas na mga pahintulot sa app, na ginagawa itong partikular na mapanlinlang. Tumataas ang panganib kapag nag-install ang mga user ng mga app mula sa mga hindi pinagkakatiwalaang pinagmulan, dahil maaaring samantalahin ng mga nakakahamak na application ang kahinaan upang ma-access ang sensitibong impormasyon. Bagama't nag-isyu ang Google ng mga bahagyang patch para tugunan ang isyu, inaasahang magkakaroon ng ganap na pagpapagaan sa Disyembre 2025. Pansamantala, dapat manatiling mapagbantay ang mga user, maingat na sinusubaybayan ang kanilang mga 2FA app at iba pang sensitibong data para sa anumang senyales ng hindi pangkaraniwang aktibidad.
